Mejores prácticas de seguridad para su sitio web de WooCommerce
Publicado: 2019-02-02Los sitios web de comercio electrónico son el objetivo más fácil para los piratas informáticos. Es importante que los desarrolladores web y los administradores de sistemas se mantengan al día con los problemas de seguridad.
Los desarrolladores usan una tonelada de conjuntos de codificación de diferentes fuentes, complementos, extensiones y componentes que a veces funcionan de forma independiente. Siguen prácticas básicas de seguridad de codificación al crear el sitio web de comercio electrónico. Las medidas de seguridad del lado del servidor también ofrecen un nivel decente de seguridad.
Los piratas informáticos son muy conscientes de estas construcciones de infraestructura virtual y protocolos de seguridad. Los escáneres efectivos están disponibles hoy para escanear e informar todo el sistema y los mecanismos de seguridad en el lugar. También puede hacer uso de la herramienta adecuada para eliminar vulnerabilidades.
En este artículo, me gusta sugerir algunas de las mejores prácticas de seguridad para que los sitios web de comercio electrónico protejan su negocio del robo de datos y eviten que los piratas informáticos utilicen su plataforma de negocios en línea como patio de recreo.
Prácticas básicas de seguridad
Los desarrolladores web y los administradores del servidor siempre siguen todas las prácticas de seguridad básicas necesarias. Algunos de ellos son,
- Configuración de permisos adecuados para archivos y carpetas en el servidor.
- Cuentas de administrador de protección de contraseña y cuentas de usuario.
- Validación de las entradas de los usuarios en las áreas de autenticación.
- Desarrolladores web siguiendo los parámetros de prevención de inyección SQL en la base de datos y las funciones utilizadas en los scripts.
- Probar el sitio web o la aplicación a fondo antes de implementarlo en el servidor de producción.
y así…
Veamos la lista de prácticas de seguridad que me gusta sugerirle que siga en su sitio web de comercio electrónico. Si bien proporciona funciones más flexibles a su sitio web de compras en línea, es importante que los clientes sientan que su sitio web es 100 % seguro y fluido también para las transacciones.
La protección de los datos del cliente debe ser la máxima prioridad. Los piratas informáticos siempre sienten curiosidad por las áreas que los desarrolladores y administradores a veces pasan por alto. Una puerta trasera o un error es todo lo que necesitan para comprometer todo el sitio web o el servidor web.
- Cuida el núcleo
Hoy en día, la mayoría de los sitios web de compras en línea ejecutan un popular software de comercio electrónico comercial y de código abierto. Los desarrolladores simplemente deshabilitan o eliminan las funciones que sus clientes no desean. Escriba código o agregue algunas extensiones para incorporar las funciones que faltan y que solicitan los dueños de negocios.
Los piratas informáticos simplemente comienzan a buscar aleatoriamente sitios web que utilicen dicho software de comercio electrónico comercial de código abierto o popular.
Es muy importante mantener el núcleo actualizado. Debe asegurarse de que el software de comercio electrónico que utiliza reciba los parches de seguridad adecuados y las correcciones de errores de sus desarrolladores de forma periódica o frecuente.
Wordpress + WooCommerce, Joomla + WooCommerce o Drupal, independientemente de la plataforma en la que se ejecute su sitio web de comercio electrónico, asegúrese de que la plataforma Core esté recibiendo actualizaciones.
Como usuario del complemento Flycart, estoy feliz de recibir actualizaciones periódicas con correcciones de errores y mejoras de rendimiento.
- Complementos/extensiones de fuentes confiables
Siempre asegúrese de que el desarrollador de su sitio web que administra su sitio web de comercio electrónico obtenga los complementos, componentes y extensiones de su sitio solo de fuentes confiables. Nunca fomente prácticas como simplemente usar un complemento porque es gratuito o copiar los scripts y códigos de fuentes aleatorias.
Una de las malas prácticas de codificación que siguen los nuevos desarrolladores y programadores web es buscar en Google y copiar los fragmentos de código y, a veces, los scripts completos sin verificar las fuentes correctamente.
Esto hará que los piratas informáticos realicen las tareas de búsqueda de la puerta trasera mucho más fácilmente.
Ahorrar unos pocos dólares le hará perder miles cuando ocurra un intento exitoso de piratería, lo que pone en gran riesgo los datos del cliente, los datos financieros y los datos privados.
- Seguridad del panel de administración
Se siente como una botella de miel. /admin/, /administrator/, /login/ son algunos de los nombres de carpetas más utilizados por los desarrolladores web y la primera clave de búsqueda de piratas informáticos en su sitio web.
Encontrar cualquier tipo de ataque de validación de entrada, CSS, XSS y otros tipos de ataques hace que el trabajo sea mucho más fácil para cualquier pirata informático.
Proteger dichas áreas de inicio de sesión y, en especial, los directorios de administrador con .htaccess es un nivel muy básico de medida de seguridad que los desarrolladores web deben hacer. Además, la configuración de la lista negra de IP en mod_security (si es un servidor Apache) es esencial para evitar cualquier ataque de script de fuerza bruta por parte de un pirata informático.
- Proceso de copia de seguridad de rutina
Siempre asegúrese de que exista un proceso de respaldo periódico para todo el sitio web. En el caso de cualquier tipo de ataques de eliminación de datos o desfiguración de sitios web, es muy importante restaurar sus datos más recientes desde su servidor de respaldo para evitar una gran pérdida de datos financieros.
La mayoría de las empresas de alojamiento web ofrecen copias de seguridad como una característica adicional que debe comprar. Por supuesto, es costoso para las empresas de hospedaje mantener dichas copias de seguridad.
Mi recomendación será, no intente ahorrar dinero en copias de seguridad y asegúrese de haber configurado el servidor para realizar copias de seguridad de enrutamiento de todo su sitio web, incluida la base de datos también.
- Implementar un sistema de monitoreo de nivel de aplicación
Los servicios de seguridad web como CloudFlare ofrecen un excelente sistema de monitoreo de sitios web/aplicaciones web. Conocerá los detalles completos de quién visita su sitio web y accede a qué conjuntos de directorios y carpetas. Más bien, dependiendo del software de análisis regular, es muy importante implementar un sistema de monitoreo a nivel de aplicación para monitorear y registrar regularmente el acceso de los usuarios y los eventos que tienen lugar en su sitio web de compras.
Cuando tiene múltiples administradores, personal y áreas de inicio de sesión de clientes, es importante monitorearlo regularmente. Asegúrese de que se registren todos los intentos de inicio de sesión exitosos y que también se marquen los intentos fallidos.
Dichos registros deben contener la dirección IP, la información del sistema operativo y también otros datos de la marca de tiempo.
Se ha demostrado que los firewalls de nivel de aplicación son efectivos y deben implementarse para facilitar la administración de un sitio web de comercio electrónico.
- Aplicaciones de prueba de seguridad de terceros
El desarrollador de su sitio web de comercio electrónico puede tener ciertas herramientas de prueba para realizar la verificación y validación después del desarrollo. Los piratas informáticos siempre piensan unos pasos por delante de los pasos seguidos por las prácticas de prueba periódicas antiguas de las organizaciones.
Sucuri es mi favorito cuando se trata de evaluación de seguridad de sitios web y aplicaciones web. El favorito personal de los piratas informáticos será la herramienta de evaluación de vulnerabilidades Nessus. Nessus es un software eficaz para encontrar las prácticas de codificación deficientes que existen en cualquier aplicación web.
Sucuri y Cloudflare, ambos ofrecen una gran tranquilidad para los usuarios novatos y las organizaciones comerciales para que no se preocupen mucho por los intentos de piratería. Simplemente redirija todo el tráfico de su sitio web a través de ellos, y ellos manejarán cualquier intento de piratería, la ejecución de scripts por parte de piratas informáticos malintencionados y también aumentarán la velocidad de la página de su sitio web.
Realmente aprecio su paciencia al revisar todas estas más de 1000 palabras :) Espero que este artículo le resulte útil y le ayude a comprender mejor las posibles amenazas que podría enfrentar su sitio web de comercio electrónico.
Gracias por leer y siéntase libre de compartir una palabra sobre estas mejores prácticas de seguridad para sitios web de comercio electrónico si lo encuentra útil. Qué tengas un lindo día.
Información del autor:
Robin es consultor de seguridad, bloguero de tecnología y youtuber. Le apasiona la Enseñanza y el constante aprendizaje de nuevas tecnologías. Puede encontrar sus Reglas de descuento para WooCommerce: publicación de blog de revisión profesional en DailyTut.